Má DMZ v IPv6 smysl?

MP

Má DMZ v IPv6 smysl?
« kdy: 04. 04. 2017, 10:41:59 »
Ahoj,

procitam si nejake materialy o ipv6 z duvodu mozneho nasazeni. Usnadnilo by to nektere veci, jine zase ne. Kazdopadne, zakladni otazka je - ma DMZ u ipv6 smysl? Proc se ptam. Mam frontend na verejne IPv4 v DMZ. Frontend vyzaduje pristup k databazi v rezimu zapisu. Cili replikace databaze jako read-only z interni site nema smysl. Takze bud se pak povoluje pristup z DMZ do interni site, nebo je databaze primo v DMZ. Databaze v DMZ je komplikaci pro interni sluzby (replikace, backup atd). A ted ten hacek navic. Firewall mezi DMZ/outside, DMZ/inside ma k dispozici jen urcity pocet 1Gbps portu. Interni sit ALE bezi na 10Gbps.

Takze mam asi takovehle moznosti:
1] nemit dmz - frontend ma outside i inside IP
2] mit dmz - frontend v dmz komunikuje s db v inside pres prechodovou sit (nemusi to byt NAT)
3] mit dmz - databaze je v dmz, veskere sluzby z inside musi jit pres firewall

Ten bod 1] je sice z hlediska rozlozeni zdroju nejlepsi, ale zase je to dost riziko. Navic, zaslechl jsem nazor, ze u ipv6 nema dmz smysl. Ze to spise resit 2xFW - zonovy (dmz,outside,inside) a lokalni (hm, lokalni mezi servery v interni siti, dost komplilkace). Co realne ted pouzivate, resp. jiz nema do budoucna smysl? Da se rici, ze se tu dost krizi vykon x bezpecnost.
« Poslední změna: 04. 04. 2017, 11:01:00 od Petr Krčmář »


Trupik

Re:Má DMZ v IPv6 smysl?
« Odpověď #1 kdy: 04. 04. 2017, 12:25:33 »
DMZ ako zóna, v ktorej sú odlišné bezpečnostné politiky má zmysel vždy a je jedno či tam beží IPv4 alebo IPv6.

https://www.reddit.com/r/ipv6/comments/3r98cc/how_do_you_setup_a_dmz_using_ipv6/

Sten

Re:Má DMZ v IPv6 smysl?
« Odpověď #2 kdy: 04. 04. 2017, 16:51:49 »
DMZ je jedno, jaký protokol používáte.

Doporučoval bych multilayer security a least privilege principle, kdy chráníte firewally, více zónami a virtualizací i služby ve vnitřní síti, kde dovolíte přístupy jen tomu, kdo by tam přístupy měl mít. Rozdělení na DMZ a vnitřní síť se pak začne stírat, nebo spíš měnit na plynulý přechod. Kde všude nasadit HW firewall, pak záleží na tom, co by útočník při kompromitaci dané zóny mohl udělat. Pokud kompromituje frontend s plným přístupem do DB s daty interních služeb, tak už je snad úplně jedno, jestli se dostane na stroje, které ty služby běží. Zkusil bych spíš uvažovat, jak to udělat, aby ten frontend neměl přístup k DB s daty interních služeb — např. aby používal nějaké API (třeba REST) na middleware, který teprve bude mít přístup do DB.

j

Re:Má DMZ v IPv6 smysl?
« Odpověď #3 kdy: 04. 04. 2017, 17:14:08 »
2MP ... a pochopils co to DMZ je?

Pricemz naopak, v IPv6 se to dela opoznani lip. Uz jen to, ze ji klidne muzes vyhradit trebas /60 ...

asdf111

Re:Má DMZ v IPv6 smysl?
« Odpověď #4 kdy: 04. 04. 2017, 18:29:23 »
NAT nieje security, firewall je security.

V tomto pripade nevies pouzit link local adresy kedze frontend storje musis mat v inej sieti ako DB stroje a link local adresy niesu routovatelne cize nevies pouzit situaciu frontend vs internet po global ipv6, backend vs frontend po link local ipv6.

cize pekne ako siete treba robit :) DMZ ktora je otvorena do internetu z jednej strany a zvysok odrezany od internetu, nic sa nemeni per teba.


MP

Re:Má DMZ v IPv6 smysl?
« Odpověď #5 kdy: 05. 04. 2017, 00:13:07 »
DMZ je jedno, jaký protokol používáte.

Doporučoval bych multilayer security a least privilege principle, kdy chráníte firewally, více zónami a virtualizací i služby ve vnitřní síti, kde dovolíte přístupy jen tomu, kdo by tam přístupy měl mít. Rozdělení na DMZ a vnitřní síť se pak začne stírat, nebo spíš měnit na plynulý přechod. Kde všude nasadit HW firewall, pak záleží na tom, co by útočník při kompromitaci dané zóny mohl udělat. Pokud kompromituje frontend s plným přístupem do DB s daty interních služeb, tak už je snad úplně jedno, jestli se dostane na stroje, které ty služby běží. Zkusil bych spíš uvažovat, jak to udělat, aby ten frontend neměl přístup k DB s daty interních služeb — např. aby používal nějaké API (třeba REST) na middleware, který teprve bude mít přístup do DB.

To sic, ale tahat ty zony pres 1G firewally je tezka vykonova ztrata. Tu 1G linku zahltim jednim obycejnym backupem/dumpem db...No a do vyvoje mluvit nemuzu.

MP

Re:Má DMZ v IPv6 smysl?
« Odpověď #6 kdy: 05. 04. 2017, 00:20:41 »
NAT nieje security, firewall je security.

V tomto pripade nevies pouzit link local adresy kedze frontend storje musis mat v inej sieti ako DB stroje a link local adresy niesu routovatelne cize nevies pouzit situaciu frontend vs internet po global ipv6, backend vs frontend po link local ipv6.

cize pekne ako siete treba robit :) DMZ ktora je otvorena do internetu z jednej strany a zvysok odrezany od internetu, nic sa nemeni per teba.

Ten druhy odstavec je v te slovenske strucnosti dost zmatecny. Ale jo, uvazoval jsem o vyuziti global pro frontend->backend (pripadne ULA). Ale porad bych byl v situaci, ze jsou public servery, ktere potrebuji komunikovat s db (popr. pres vpn se siti zakaznika).